как сделать сертификат доверенным windows 10
Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows
Как добавить корневой сертификат в доверенные в Windows на уровне системы
1. Мастер импорта сертификатов
Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:
В открывшемся окне нажмите кнопку «Установить сертификат»:
Выберите один из вариантов:
Выберите «Пометить все сертификаты в следующие хранилища»:
Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:
Нажмите «Далее»:
Нажмите «Готово»:
Сообщение об успешном импорте:
Теперь сертификат будет доступен в Менеджере Сертификатов:
2. Добавление root CA сертификата в Менеджере Сертификатов
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
Кликните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации», выберите пункт «Все задачи» → «Импорт»:
Нажмите «Далее»:
Укажите папку и имя файла:
Нажмите «Далее»:
Теперь действительно всё готово:
Только что импортированный сертификат в Менеджере Сертификатов:
Как добавить корневой сертификат в доверенные в Windows в веб браузеры
Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.
Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:
Нажмите кнопку «Импортировать»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Как установить корневые сертификаты Windows 10
Корневые сертификаты – это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным и остается ли цифровой сертификат действительным. Если цифровой сертификат не принадлежит доверенному органу, вы получите сообщение об ошибке в виде « Проблема с сертификатом безопасности этого веб-сайта », и браузер может заблокировать связь с веб-сайтом.
Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.
Как добавить корневые сертификаты Windows 10 вручную?
Способ 1. Установите сертификаты из доверенных ЦС
Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.
Способ 2. Установите сертификаты с помощью консоли управления Microsoft
Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.
Как сделать сертификат доверенным windows 10
На данный момент работа через защищённое соединение c устройств Apple не поддерживается.
На данный момент работа через защищённое соединение c Android-устройств не поддерживается.
Установка сертификатов — для Windows 10 (Vista, 7, 8)
Шаг 1. Загрузите сертификаты КриптоПро CSP
cacer.p7b [7 кБ] — (обновлен 23 сентября 2021 г) контейнер с сертификатами удостоверяющего центра ООО КРИПТО-ПРО, необходимыми для функционирования сертификата ssl.croinform.cer.
Шаг 2. Установка основного сертификата ssl.croinform.cer
Для установки сертификата веб-узла ssl.croinform.ru выполните следующие действия. Щелкните правой клавишей мыши по файлу ssl.croinform.cer. В открывшемся контекстном меню выберите команду «Установить сертификат».
При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».
Откроется окно «Мастер импорта сертификатов».
В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.
Нажмите на кнопку «ОК», окно будет закрыто. Поздравляем! Вы установили основной сертификат ssl.croinform.cer.
Шаг 3. Установка сертификатов из контейнера cacer.p7b
Щелкните правой клавишей мыши по файлу cacer.p7b. В открывшемся контекстном меню выберите команду «Установить сертификат».
При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».
Откроется окно «Мастер импорта сертификатов».
Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов
Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».
Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.
Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».
Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.
Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.
Профили доверенных корневых сертификатов для Microsoft Intune
При использовании Intune для подготовки устройств с сертификатами для доступа к корпоративным ресурсам и сети используйте профиль доверенного сертификата для развертывания доверенного корневого сертификата на этих устройствах. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты.
Профиль доверенного сертификата разворачивается для тех же устройств и пользователей, которые получают профили сертификатов для SCEP, PKCS и импортированных PKCS.
Экспорт доверенного корневого сертификата ЦС
Чтобы использовать импортированные сертификаты PKCS, SCEP и PKCS, устройства должны доверять корневому центру сертификации. Чтобы установить доверие, экспортируйте доверенный корневой сертификат ЦС, а также все промежуточные или выдаваемые сертификаты центра сертификации в качестве общедоступного сертификата (CER-файла). Эти сертификаты можно получить из выдающего ЦС или с любого устройства, которое доверяет выдающему ЦС.
Чтобы экспортировать сертификат, обратитесь к документации по своему центру сертификации. Вам потребуется экспортировать открытый сертификат в виде CER-файла. Не экспортируйте закрытый ключ (PFX).
Этот CER-файл будет использоваться при создании профилей доверенных сертификатов для развертывания этого сертификата на устройствах.
Создание профилей доверенных сертификатов
Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Развертывание профиля доверенного сертификата в тех же группах, которые получают другие типы профилей сертификатов, гарантирует, что каждое устройство сможет распознать подлинность вашего ЦС. Сюда входят такие профили, как профили для VPN, Wi-Fi и электронной почты.
Профили сертификатов SCEP непосредственно ссылаются на профиль доверенного сертификата. Профили сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но напрямую ссылаются на сервер, на котором размещен ваш ЦС. Профили импортированных сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но могут использовать его на устройстве. Развертывание профиля доверенного сертификата на устройствах гарантирует, что доверие будет установлено. Если устройство не доверяет корневому ЦС, политика профиля сертификата SCEP или PKCS сообщит об ошибке.
Создайте отдельный профиль доверенного сертификата для каждой платформы устройства, которую вы хотите поддерживать, точно так же, как это делается для профилей сертификатов SCEP, PKCS или импортированного сертификата PKCS.
Доверенные корневые профили, создаваемые для платформы Windows 10 и последующих версий, отображаются в центре администрирования Microsoft Endpoint Manager как профили для платформы Windows 8.1 и последующих версий.
Это известная проблема, связанная с особенностями отображения на платформе для профилей доверенных сертификатов. Хотя профиль отображается как предназначенный для платформы Windows 8.1 и более поздней версии, он поддерживается платформой Windows 10 и более поздних версий.
Профиль Доверенный сертификат в Intune можно использовать только для предоставления корневых или промежуточных сертификатов. Целью развертывания таких сертификатов является создание цепочки доверия. Майкрософт не поддерживает использование профиля доверенного сертификата для предоставления сертификатов, отличных от корневых или промежуточных сертификатов. Импорт сертификатов, которые не считаются корневыми или промежуточными, может быть заблокирован при выборе профиля доверенного сертификата в центре администрирования Microsoft Endpoint Manager. Даже если вы можете импортировать и развернуть сертификат, который не является корневым или промежуточным, с помощью этого типа профиля, скорее всего, вы получите непредвиденные результаты на различных платформах, таких как iOS и Android.
Профили доверенных сертификатов для администратора устройств Android
Начиная с Android 11 вы больше не можете использовать профиль доверенного сертификата для развертывания доверенного корневого сертификата на устройствах, зарегистрированных в качестве администратора устройства Android. Это ограничение не распространяется на Samsung Knox.
Так как для профилей сертификатов SCEP требуется, чтобы доверенный корневой сертификат был установлен на устройстве и ссылался на профиль доверенного сертификата, который, в свою очередь, ссылается на этот сертификат, выполните следующие действия, чтобы обойти это ограничение:
Вручную подготовьте устройство с доверенным корневым сертификатом. Пример руководства см. в следующем разделе.
Разверните на устройстве профиль доверенного корневого сертификата, который ссылается на доверенный корневой сертификат, установленный на устройстве.
Разверните на устройстве профиль сертификата SCEP, который ссылается на профиль доверенного корневого сертификата.
Эта проблема затрагивает не только профили сертификатов SCEP. Поэтому запланируйте ручную установку доверенного корневого сертификата на соответствующих устройствах, если вы используете профили сертификатов PKCS или этого требуют импортированные профили сертификатов PKCS.
Дополнительные сведения об изменениях в поддержке функции администратора устройств Android см. на сайте techcommunity.microsoft.com.
Подготовка устройства с доверенным корневым сертификатом вручную
Следующие рекомендации помогут вам вручную подготавливать устройства с помощью доверенного корневого сертификата.
Скачайте или перенесите доверенный корневой сертификат на устройство Android. Например, можно разослать сертификат пользователям устройств по электронной почте или предложить им загрузить его из безопасного расположения. После того как сертификат окажется на устройстве, его нужно будет открыть, присвоить ему имя и сохранить. При сохранении сертификат добавляется в хранилище сертификатов пользователя на устройстве.
После проверки подлинности сертификат открывается — ему нужно будет присвоить имя и сохранить его в хранилище сертификатов пользователей. Имя сертификата должно совпадать с именем сертификата, указанным в профиле доверенного корневого сертификата, который будет отправлен на устройство. После присвоения имени сертификат можно сохранить.
После сохранения сертификат будет готов к использованию. Пользователь может проверить, правильно ли выбрано место хранения сертификата на устройстве:
Установив корневой сертификат на устройстве, необходимо развернуть следующие компоненты для инициализации сертификатов SCEP или PKCS:
Создание профиля доверенного сертификата
Выберите Устройства > Профили конфигурации > Создать профиль.
Укажите следующие свойства.
Щелкните Создать.
В разделе Основные укажите следующие свойства.
Выберите Далее.
В Параметрах конфигурации укажите CER-файл ранее экспортированного доверенного сертификата корневого ЦС.
Только для устройств Windows 8.1 и Windows 10 выберите Конечное хранилище для доверенного сертификата из следующих расположений:
Выберите Далее.
В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Выберите Далее.
(Применимо только к Windows 10) В разделе Правила применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете как назначить, так и не назначать профиль на основе выпуска ОС или версии устройства.
Сведения о правилах применимости см. в руководстве по созданию профиля устройства в Microsoft Intune.
В окне Проверка и создание проверьте параметры. При выборе «Создать» внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Ручное обновление корневых сертификатов на Windows
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
В папке C:\CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:\CA\rootsupd.exe /c /t:C:\CA
* где C:\CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
. выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду: